La gestion des risques liés à l’IA est la pratique consistant à identifier et à traiter de manière systématique les risques que les systèmes d’intelligence artificielle introduisent dans une organisation. Elle couvre les risques techniques (vulnérabilités de sécurité, défaillances de modèles), les risques opérationnels (Shadow AI, utilisation non autorisée), les risques de conformité (violations réglementaires, protection des données) et les risques stratégiques (dépendance à un fournisseur, atteinte à la réputation).
Le cadre de gestion des risques liés à l’IA du NIST (NIST AI RMF) fournit une structure largement adoptée, organisée autour de quatre fonctions : Gouverner (établir les politiques et processus de gestion des risques liés à l’IA), Cartographier (identifier et catégoriser les risques liés à l’IA), Mesurer (analyser et évaluer les risques identifiés) et Gérer (mettre en œuvre des contrôles et surveiller leur efficacité).
Les principales catégories de risques liés à l’IA comprennent : les risques de confidentialité et de protection des données, les préoccupations relatives aux biais et à l’équité, les vulnérabilités de sécurité, y compris les attaques adverses, les risques liés à la propriété intellectuelle, les risques de conformité réglementaire, la fiabilité opérationnelle, les risques liés à la chaîne d’approvisionnement provenant des fournisseurs d’IA, ainsi que les considérations éthiques.
Une gestion efficace des risques liés à l’IA exige une collaboration interfonctionnelle entre les équipes de sécurité, juridiques, de conformité, informatiques et métiers, soutenue à la fois par des contrôles techniques (surveillance, DLP, gestion des accès) et des contrôles organisationnels (politiques, formation, comités de gouvernance).